Ir al contenido
SGSI.online

ISO 27701:2025 Control A.3.20: Medios de almacenamiento

El control A.3.20 exige que las organizaciones gestionen los soportes de almacenamiento que contienen información de identificación personal (PII) durante todo su ciclo de vida, desde su adquisición hasta su eliminación, de acuerdo con su esquema de clasificación y sus requisitos de manipulación.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.3.20?

Los soportes de almacenamiento que contengan información de identificación personal (PII) deberán gestionarse a lo largo de su ciclo de vida, desde su adquisición hasta su uso, transporte y eliminación, de conformidad con el esquema de clasificación y los requisitos de manipulación de la organización.

Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) aborda el ciclo de vida completo de cualquier soporte físico o extraíble que almacene información de identificación personal (PII). A diferencia de los controles de seguridad puramente digitales, el A.3.20 se centra en los riesgos tangibles de que los soportes se pierdan, sean robados, interceptados o desechados incorrectamente en cada etapa de su recorrido dentro de la organización.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.3.20) proporciona una guía exhaustiva que abarca varias áreas clave:

  • Documentar todo el uso de medios extraíbles — La organización debe documentar cualquier uso de medios o dispositivos extraíbles para el almacenamiento de información de identificación personal, creando un registro auditable de qué medios existen y dónde se utilizan.
  • Cifrar siempre que sea posible. — Los soportes físicos extraíbles o los dispositivos utilizados para almacenar información de identificación personal deben permitir el cifrado. Los soportes no cifrados solo deben utilizarse cuando sea inevitable, con controles compensatorios como embalajes a prueba de manipulaciones para mitigar los riesgos.
  • Procedimientos de eliminación seguros — Cuando se eliminen soportes extraíbles que contengan información personal identificable (PII), se deben documentar e implementar procedimientos de eliminación seguros para garantizar que la PII almacenada previamente no sea accesible.
  • Controles de transferencia de medios físicos — Un sistema debe registrar los soportes físicos entrantes y salientes que contengan información de identificación personal (PII), incluyendo el tipo de soporte, el remitente autorizado, los destinatarios autorizados, la fecha y la hora, y el volumen de soportes.
  • Cifrado en tránsito — Siempre que sea posible, medidas adicionales como el cifrado deben garantizar que solo se pueda acceder a los datos en el punto de destino, no durante el tránsito.
  • Autorización antes de abandonar las instalaciones. — Los soportes físicos que contengan información personal identificable (PII) deben pasar por un procedimiento de autorización antes de salir de las instalaciones de la organización, garantizando que la PII no sea accesible a nadie que no sea personal autorizado.

La guía subraya que los soportes extraíbles que se llevan fuera de las instalaciones físicas de la organización son particularmente vulnerables a pérdidas, daños y accesos no autorizados. El cifrado de estos soportes añade una capa fundamental de protección que reduce los riesgos de seguridad y privacidad en caso de que se vean comprometidos.

¿Cómo se relaciona esto con el RGPD?

El control A.3.20 se corresponde con lo siguiente: GDPR artículos:

  • Artículo 5(1)(f) — El principio de integridad y confidencialidad, que exige medidas de seguridad adecuadas, incluida la protección contra el procesamiento no autorizado y la pérdida accidental.
  • Artículo 32 (1) (a) — La obligación de implementar medidas técnicas y organizativas adecuadas, incluida la pseudonimización y el cifrado de datos personales.

La función GDPRLa mención explícita del cifrado en el artículo 32(1)(a) se alinea directamente con el énfasis de A.3.20 en el cifrado de los medios extraíbles siempre que sea factible.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito se distribuyó entre las cláusulas 6.5.3.1 (gestión de medios extraíbles), 6.5.3.2 (eliminación de medios), 6.5.3.3 (transferencia de medios físicos) y 6.8.2.5. La edición de 2025 consolida todas estas en un único control A.3.20, lo que proporciona una visión más coherente del ciclo de vida de la gestión de medios de almacenamiento. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.3.20, los auditores generalmente buscarán lo siguiente:

  • Inventario de medios — Un registro de todos los soportes de almacenamiento extraíbles y portátiles utilizados para información de identificación personal, incluyendo el tipo de soporte, el propietario, el nivel de clasificación y la ubicación física.
  • Política de cifrado y evidencia — Una política que exige el cifrado de los medios extraíbles que contienen información de identificación personal, con pruebas de que se aplica dicho cifrado (por ejemplo, BitLocker, unidades USB cifradas por hardware).
  • Registro de transferencia — Registros de transferencias de soportes físicos que muestran el remitente, el destinatario, la autorización, la fecha y el tipo de soporte.
  • Registros de eliminación — Certificados de destrucción o registros de eliminación segura de soportes que han sido dados de baja.
  • Procedimientos de autorización — Un proceso documentado para aprobar la retirada de soportes que contengan información de identificación personal de las instalaciones de la organización.

¿Cuáles son los controles relacionados?

Control Relación
A.3.5 Clasificación de la información Los requisitos de manejo de los soportes están determinados por la clasificación de la información de identificación personal que contienen.
A.3.6 Etiquetado de la información Los soportes de almacenamiento deben estar etiquetados según su nivel de clasificación.
A.3.21 Eliminación segura o reutilización La eliminación de equipos que contengan medios de almacenamiento debe seguir procedimientos seguros.
A.3.26 Uso de criptografía Los requisitos de cifrado para los medios se rigen por la política de criptografía.
A.3.7 Transferencia de información La transferencia de medios físicos es una forma de transferencia de información cubierta por A.3.7 Transferencia de información

¿A quién se aplica este control?

A.3.20 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Toda organización que utilice soportes de almacenamiento físicos o extraíbles para datos personales debe gestionarlos durante todo su ciclo de vida. Esto es especialmente relevante para las organizaciones que transfieren datos personales mediante soportes extraíbles entre sedes, a terceros o a clientes.



El potente panel de control de ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para la gestión de medios de almacenamiento?

SGSI.online Proporciona herramientas prácticas para gestionar los medios de almacenamiento que contienen información de identificación personal (PII):

  • Registro de activos — Mantener un inventario centralizado de todos los soportes de almacenamiento, vinculados a los niveles de clasificación, propietarios y ubicaciones físicas, con seguimiento del ciclo de vida desde la adquisición hasta la eliminación.
  • Transferir flujos de trabajo — Registrar y autorizar las transferencias de soportes físicos con flujos de trabajo de aprobación, garantizando que cada movimiento quede registrado y sea auditable.
  • Seguimiento de la eliminación — Registrar los eventos de eliminación segura con certificados de destrucción, vinculados directamente al registro de activos para una trazabilidad completa.
  • Gestión de políticas — Publique y distribuya políticas de medios de almacenamiento con seguimiento de confirmación, para que pueda demostrar que el personal comprende los requisitos.
  • Paquetes de evidencia de auditoría — Genere paquetes de evidencia predefinidos para A.3.20 que reúnan su inventario de medios, registros de transferencia, registros de eliminación y confirmaciones de políticas.

Preguntas Frecuentes

¿Qué se considera medio de almacenamiento según este control?

Los soportes de almacenamiento incluyen cualquier dispositivo físico capaz de almacenar datos: unidades flash USB, discos duros externos, tarjetas SD, discos ópticos (CD, DVD, Blu-ray), cintas magnéticas, unidades de estado sólido e incluso registros en papel. El control abarca tanto los soportes extraíbles como los integrados en equipos portátiles, como ordenadores portátiles. Si el soporte puede almacenar información personal identificable (PII) y puede salir de las instalaciones de la organización, se incluye en el ámbito de aplicación del apartado A.3.20.

¿Es obligatorio el cifrado para todos los soportes extraíbles?

Las directrices establecen que el cifrado debe utilizarse siempre que sea factible. Los soportes sin cifrar solo deben utilizarse cuando sea inevitable, y deben implementarse controles compensatorios. En la práctica, las unidades USB con cifrado de hardware y las herramientas de cifrado de disco completo modernas hacen que el cifrado sea factible en casi todos los casos. Los auditores exigirán una justificación clara para cualquier caso en el que no se utilice el cifrado.

¿Cómo deberían las organizaciones gestionar el almacenamiento en la nube bajo este control?

A.3.20 se centra específicamente en los medios de almacenamiento físicos y extraíbles en lugar del almacenamiento en la nube. El almacenamiento en la nube se aborda mediante otros controles, entre ellos: A.3.10 Acuerdos con proveedores (acuerdos con proveedores) y A.3.7 Transferencia de información (transferencia de información). Sin embargo, si se descargan datos desde el almacenamiento en la nube a un medio extraíble, dicho medio queda inmediatamente dentro del ámbito de aplicación de A.3.20 y debe gestionarse en consecuencia.

Registre este control en su Declaración de aplicabilidad con su enfoque de implementación.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.